постоянно выскакивают системные сообщения об этих вирусах, norton обновляется, работает, но ничего не видит... не знаю что делать..
постоянно выскакивают системные сообщения об этих вирусах, norton обновляется, работает, но ничего не видит... не знаю что делать..
выполнил...
Добавлено через 1 минуту
avz заподозрил аж 80 файлов, но больше ничего не изменилось...
Последний раз редактировалось connan; 27.02.2008 в 23:53. Причина: Добавлено
упс... что-то сразу не всё прикрепилось... сорри..
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll',''); QuarantineFile('D:\Program Files\Internet Explorer\SETUPAPI.dll',''); QuarantineFile('D:\WINDOWS\system32\basebvw32.dll',''); QuarantineFile('D:\WINDOWS\system32\bitsprx.dll',''); QuarantineFile('D:\WINDOWS\system32\ntos.exe',''); QuarantineFile('D:\WINDOWS\system32\cssrss.exe',''); QuarantineFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\~~install.dll',''); QuarantineFile('C:\Program Files\Internet Explorer\winload.exe',''); QuarantineFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys',''); DeleteFile('D:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('D:\WINDOWS\system32\cssrss.exe'); DeleteFile('D:\WINDOWS\system32\ntos.exe'); DeleteFile('D:\WINDOWS\system32\bitsprx.dll'); DeleteFile('D:\Program Files\Internet Explorer\SETUPAPI.dll'); DelBHO('{9D28597B-67AA-4755-BCD5-56D20889E8B0}'); BC_DeleteSvc('smtpdrv'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
вроде как переслал...
перечитайте как нужно отправлять файлы ( приложение 3 правил ) ... только читать внимательно .....
прошу прощенья... теперь вроде всё как надо сделал
D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\~~install.dll not-virus:Hoax.Win32.Renos.awn
D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll not-virus:Hoax.Win32.Renos.awm
D:\Program Files\Internet Explorer\SETUPAPI.dll Trojan-Spy.Win32.Webmoner.fx
D:\WINDOWS\system32\basebvw32.dll Trojan.Win32.Agent.edu
D:\WINDOWS\system32\ntos.exe Trojan-Spy.Win32.Zbot.ajx
выполните скрипт ....
затем еще один ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\~~install.dll'); DeleteFile('D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
повторите логи ...Код:function _DecHex( Dc : Integer) : String; begin Result := Copy('0123456789abcdef',Dc+1,1); end; function DecHex( Dec : Integer) : String; var Di,D1,D2 : integer; begin Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end; If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2); end; procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); SF.Add('REGEDIT4'); SF.Add(''); SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]'); SSS := '"Windows"=hex(2):'; for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ','; SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg'); ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End.
ну хоть теперь я правильно понял, что после скриптов надо было повторить начальные операции и новые логи прислать?
Да, все правильно. Лечение прошло успешно. Осталось подобрать мусор.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll (file missing) O2 - BHO: WindowsUpdate Class - {B3B010A1-A877-4CD7-BAB5-9EE8F9965E20} - D:\DOCUME~1\5F8D~1\LOCALS~1\Temp\ieobj.dll (file missing) O3 - Toolbar: Seekmo Toolbar - {53E0B6E8-A51D-448B-B692-40B67B285543} - D:\Program Files\Seekmo Programs\Seekmo Toolbar\SeekmoTB.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll (file missing) O4 - HKLM\..\Run: [winclean] d:\windows\system32\winclean.exe O4 - HKLM\..\Run: [winload] C:\Program Files\Internet Explorer\winload.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
Компьютер перезагрузится.Код:begin ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(17); RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
вроде так...
Еще одну пустышку проглядел, извиняюсь.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin BC_DeleteSvc('kcp'); BC_Activate; RebootWindows(true); end.
Рекомендуется отключить все что вам не нужно из этого списка:
Какие-нибудь проблемы остались?Код:>> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
да... после выполнения предыдущего скрипта комп начал перезагружаться и завис...
и написать об этом было не с чего...
Добавлено через 1 минуту
так грузиться и не хочет...
Последний раз редактировалось connan; 28.02.2008 в 10:48. Причина: Добавлено
Защищ. режим тоже не работает?
Тогда придется делать откат к посл. успешной конфигурации и повторять все логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
он ВООБЩЕ не грузится... просто чёрный экран и всё...
сейчас взял загрузочный диск на работе буду с него загружаться...
стыдно конечно спрашивать, но не знаю как "откат к посл. успешной конфигурации" произвести...
При загрузке клавишу F8 давишь, там меню выскакивает, в нем пункт этот должен быть.
Можешь еще защищенный попробовать (Safe Mode)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
да не работает F8... что-то вроде грузит сначала, причём на экране вообще ничего не видно, а потом зависает...
Глюк какой-то. Скрипт совершенно тривиальный и безопасный, не мог он такое сотворить ну никак. На экране совсем-совсем ничего не появляется? Может сигнальный кабель отвалился?
I am not young enough to know everything...
Уважаемый(ая) connan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.